Um novo tipo de malware, que se dissemina pelo Facebook, também é capaz de infectar outros serviços, como a Amazon, o Box e o encurtador de URLs Ow.ly. O worm foi detectado pela empresa de segurança Malwarebytes Labs e se espalha através de links suspeitos em sites de pornografia.
O malware faz parte da família Kilim, que consegue infectar o Chrome com plugins indesejados, capazes de usar os perfis de usuários em mídias sociais para curtir e compartilhar páginas sem a permissão do usuário. Esse tipo de worm é disseminado por meio de instaladores falsos do navegador ou do Adobe Flash Player e Google Update.
Essa variação usa a promessa de material pornográfico que pode ser baixado em sites. O nome do arquivo baixado é Videos_New.mp4_2942281629029.exe, e ele tenta se passar por um vídeo mas na verdade é um executável malicioso. As vítimas infectadas tentam disseminar o worm para seus contatos ou grupos postando mensagens pornográficas com links para o Ow.ly.
Por trás dos panos, os criminosos têm uma arquitetura de redirecionamento em camadas que usa o redirecionador, a Amazon e o armazenamento em nuvem da Box. O resultado final depende do equipamento que clica no link. Os dispositivos móveis são redirecionados para sites filiados aleatórios, que são usados para mostrar ofertas.
No caso de desktops, além do redirecionamento, será instalada a extensão no Chrome e criado um atalho para o navegador que é usado para iniciar um aplicativo malicioso quando ele é aberto. Essa tática permite que os criminosos contornem a proteção do navegador usando uma versão comprometida.
O caminho completo do link passa por uma série de redirecionamentos. O primeiro deles, do Ow.ly, redireciona para um segundo link do encurtador. Este, por sua vez, leva o usuário para um redirecionador da Amazon, que enfim leva ao site malicioso. O site checa o computador do usuário e o redireciona de acordo com o dispositivo. Os desktops, por exemplo, são levados ao Box.com, de onde um arquivo malicioso é baixado.
Segundo a Malwarebites, as empresas responsáveis já foram informadas sobre o problema e várias URLs comprometidas já foram bloqueadas. A empresa pede que os usuários tenham cuidado e evitem clicar em links que prometam prêmios ou itens de graça.
Com informações de Techtudo